CISA: آسیب‌پذیری RCE در DELMIA Apriso تهدیدی جدی برای صنایع تولیدی

سجاد تیموری 1 دقیقه پیشآخرین بروزرسانی: شهریور ۲۶, ۱۴۰۴

۰ 0 زمان تقریبی مطالعه 2 دقیقه

CISA: آسیب‌پذیری RCE در DELMIA Apriso تهدیدی جدی برای صنایع تولیدی

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) هشدار داده است که مهاجمان در حال بهره‌برداری از یک آسیب‌پذیری بحرانی از نوع Remote Code Execution (RCE) در DELMIA Apriso هستند؛ این نرم‌افزار یک راهکار Manufacturing Operations Management (MOM) و Manufacturing Execution System (MES) متعلق به شرکت فرانسوی Dassault Systèmes است.

این آسیب‌پذیری با شناسه CVE-2025-5086 و امتیاز بحرانی CVSS v3: 9.0 شناسایی و به فهرست Known Exploited Vulnerabilities (KEV) اضافه شده است.

DELMIA Apriso در فرآیندهای تولید برای دیجیتالی‌سازی و مانیتورینگ استفاده می‌شود. سازمان‌ها در سراسر جهان از آن برای زمان‌بندی تولید، مدیریت کیفیت، تخصیص منابع، مدیریت انبار و یکپارچه‌سازی میان تجهیزات تولید و نرم‌افزارهای تجاری بهره می‌برند. این نرم‌افزار معمولاً در صنایع خودروسازی، هوافضا، الکترونیک، High-Tech و ماشین‌آلات صنعتی به‌کار گرفته می‌شود؛ جایی که کنترل کیفیت، قابلیت ردیابی، انطباق و استانداردسازی فرآیندها اهمیت حیاتی دارند.

این نقص امنیتی ناشی از deserialization of untrusted data است که می‌تواند به اجرای کد از راه دور منجر شود.

شرکت ارائه‌دهنده در تاریخ ۲ ژوئن این مشکل را افشا کرد و اعلام نمود که تمامی نسخه‌های DELMIA Apriso از Release 2020 تا Release 2025 تحت تأثیر قرار دارند، هرچند جزئیات بیشتری منتشر نکرد.

در تاریخ ۳ سپتامبر، Johannes Ullrich، پژوهشگر امنیتی، در وب‌سایت SANS ISC گزارشی از مشاهدات مربوط به سوءاستفاده فعال از این آسیب‌پذیری منتشر کرد.

بر اساس این گزارش، بهره‌برداری مشاهده‌شده شامل ارسال یک درخواست مخرب SOAP به endpointهای آسیب‌پذیر است که یک فایل .NET executable فشرده‌شده با GZIP و رمزگذاری‌شده با Base64 را در قالب XML بارگذاری و اجرا می‌کند.

Payload شناسایی‌شده یک فایل اجرایی ویندوز است که توسط Hybrid Analysis به‌عنوان مخرب برچسب‌گذاری شده و تنها توسط یک موتور در VirusTotal شناسایی گردیده است.

درخواست‌های مخرب از آدرس IP 156.244.33[.]162 مشاهده شده‌اند که احتمالاً مربوط به اسکن‌های خودکار بوده است.

CISA به گزارش Ullrich ارجاع نداده است، بنابراین مشخص نیست که اضافه شدن CVE-2025-5086 به فهرست KEV نتیجه همان گزارش بوده یا منبع دیگری تأیید بهره‌برداری را در اختیار آژانس گذاشته است.

این نهاد دولتی اکنون به سازمان‌های فدرال تا تاریخ ۲ اکتبر مهلت داده است تا به‌روزرسانی‌های امنیتی یا اقدامات کاهش ریسک را اعمال کنند یا استفاده از DELMIA Apriso را متوقف نمایند.

هرچند دستورالعمل BOD 22-01 صرفاً برای سازمان‌های فدرال الزام‌آور است، اما به شرکت‌ها و سازمان‌های خصوصی در سراسر جهان نیز توصیه می‌شود هشدار CISA را جدی گرفته و اقدامات لازم را انجام دهند.